【信者】検出可否報告 ..
2:名無しさん@お腹いっぱい。
08/01/01 01:28:20
B議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。
・ブラクラ禁止
ブラクラ等、想定しないものを無言で貼らないこと
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。
という意見もあり。
・スレ違いでもめる(2スレ目以降)
3:名無しさん@お腹いっぱい。
08/01/01 01:29:01
新種・亜種ウイルスを発見した場合のサンプル提出先
(未検出の場合はとにかく提出しましょう)
シマンテック
Symantec Security Response USA 〔Upload a suspected infected file〕
URLリンク(submit.symantec.com)
ウイルスバスター
URLリンク(inet.trendmicro.co.jp)
バスターユーザー以外は
;URLリンク(www.trendmicro.com)
URLリンク(subwiz.trendmicro.com)
マカフィー
URLリンク(www.nai.com)
ウイルスセキュリティ(K7Computing)
URLリンク(k7computing.com)
NOD32アンチウイルス
URLリンク(www.eset.com)
V3ウイルスブロック
URLリンク(info.ahnlab.com)
ウイルスドクター
URLリンク(www.virusdoctor.jp)
Rising(ウイルスキラー)
URLリンク(up.rising.com.cn)
4:名無しさん@お腹いっぱい。
08/01/01 01:30:04
Dr.WEB
URLリンク(drweb.jp)
ソフォス
URLリンク(www.sophos.co.jp)
F-Secure
URLリンク(www.f-secure.co.jp)
kaspersky
URLリンク(www.kaspersky.co.jp)
一番下の「新しいウイルスをお知らせ下さい」
バイロボット(hauri)
URLリンク(www.haurijapan.com)
キングソフトアンチウィルス
URLリンク(www.kingsoft.jp)
BitDefender
URLリンク(www.bitdefender.com)
AntiVir
URLリンク(www.avira.com)
5:名無しさん@お腹いっぱい。
08/01/01 01:31:51
ewido(AVG;Anti ;Spyware)
URLリンク(www.ewido.net)
AVG
URLリンク(www.grisoft.cz)
avast!
URLリンク(www.avast.com)
eTrust
URLリンク(www.caj.co.jp)
F-PROT;
URLリンク(www.f-prot.com)
esafe
URLリンク(www.aladdin.com)
a2(a-squared)
URLリンク(www.emsisoft.jp)
Microsoft
URLリンク(www.microsoft.com)
6:名無しさん@お腹いっぱい。
08/01/01 01:32:22
ウイルスセキュリティ(K7Computing) URLリンク(k7computing.com)
ウイルスチェイサー URLリンク(www.viruschaser.jp)
AVG URLリンク(www.grisoft.cz)
7:名無しさん@お腹いっぱい。
08/01/02 14:37:07
URLリンク(www5.uploader.jp)
newyear2008
8:名無しさん@お腹いっぱい。
08/01/02 14:41:58
>>7
d
カスペ7
2/2
detected: virus Email-Worm.Win32.Zhelatin.qa File: happy2008_1.exe
detected: virus Email-Worm.Win32.Zhelatin.qa File: happy2008_2.exe
9:名無しさん@お腹いっぱい。
08/01/02 14:59:39
>>7
AntiVir:TR/Crypt.XDR.Gen
AVGAM:Trojan horse Dropper.Generic.TOL
二つとも同じウイルス検出名だったのでまとめた。
10:名無しさん@お腹いっぱい。
08/01/02 15:09:41
>>7
URLリンク(www.virustotal.com)
11:名無しさん@お腹いっぱい。
08/01/02 15:59:13
あ、すまん、fc /b したら同一バイナリだった。
12:名無しさん@お腹いっぱい。
08/01/03 05:41:37
>>991
>>7
AVGFree双方検出
13:名無しさん@お腹いっぱい。
08/01/03 07:55:31
URLリンク(dangerous.org)
14:名無しさん@お腹いっぱい。
08/01/03 08:15:44
URLリンク(www.exbloog.com)
15:名無しさん@お腹いっぱい。
08/01/03 08:27:23
URLリンク(softbank221094085047.bbtec.net)
16:名無しさん@お腹いっぱい。
08/01/03 08:39:32
休み中はゲームバカの一部が来るな
17:名無しさん@お腹いっぱい。
08/01/03 08:41:56
15はカマってちゃんぽいな
18:名無しさん@お腹いっぱい。
08/01/03 10:22:43
ここは鑑定スレではありません。malwareのみお願いします。
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
19:名無しさん@お腹いっぱい。
08/01/03 12:07:53
>>14
URLリンク(www.virustotal.com)
AntiVir - - HIDDENEXT/Worm.Gen
Authentium - - W32/Downloader.gen10
Avast - - Win32:Agent-IOV
AVG - - PSW.Generic5.RYR
BitDefender - - Dropped:Trojan.PWS.OnlineGames.NKN
ClamAV - - PUA.Packed.UPack-2
DrWeb - - Trojan.PWS.Gameff
Fortinet - - W32/OnLineGames.FCJ!tr.pws
F-Prot - - W32/Downloader.gen10
F-Secure - - Trojan-PSW.Win32.OnLineGames.fcj
Ikarus - - Trojan-Downloader.Win32.Zlob.and
Kaspersky - - Trojan-PSW.Win32.OnLineGames.fcj
McAfee - - PWS-FFantasy
Microsoft - - PWS:Win32/OnLineGames.CPD
NOD32v2 - - Win32/PSW.OnLineGames.FCJ
Norman - - W32/Zlob.ARJO.dropper
Panda - - Trj/Maran.DS
Rising - - Trojan.PSW.Win32.OnlineGames.fcj
Sophos - - Mal/Packer
Symantec - - Infostealer.Gampass
VBA32 - - Trojan-PSW.Win32.OnLineGames.fcj
VirusBuster - - Trojan.DR.OnLineGames.BVX
Webwasher-Gateway - - Virus.HIDDENEXT/Worm.Gen
20:名無しさん@お腹いっぱい。
08/01/03 13:37:12
Symantecはヒューリ検出を適用しているね
21:名無しさん@お腹いっぱい。
08/01/03 13:40:24
URLリンク(upp.sakura.ne.jp)
0103
22:名無しさん@お腹いっぱい。
08/01/03 14:21:49
だから外部うpろだなんか使うなよボケ
23:名無しさん@お腹いっぱい。
08/01/03 14:45:01
URLリンク(www5.uploader.jp)
1199118469
24:名無しさん@お腹いっぱい。
08/01/03 15:01:49
>>23
URLリンク(www.virustotal.com)
25:名無しさん@お腹いっぱい。
08/01/04 10:07:36
うぷろだは、>>1 を使おうな。
26:名無しさん@お腹いっぱい。
08/01/04 16:14:37
いつからそんなことになったんだ?
>>1はSS用の画像アップローダーだろ
何でか勝手にウイルスを貼り付ける奴が多いが
27:名無しさん@お腹いっぱい。
08/01/04 16:47:36
んじゃお前が適当なアップローダ用意しろ
28:名無しさん@お腹いっぱい。
08/01/04 17:39:21
そりゃ逆切れだろ
画像ロダにウイルスをあげることの正当化にはならん
29:名無しさん@お腹いっぱい。
08/01/04 18:08:44
画像「だけ」アップローダならimage/*以外蹴れよ
30:名無しさん@お腹いっぱい。
08/01/04 18:20:40
ロダの管理人に言え。
31:名無しさん@お腹いっぱい。
08/01/04 21:46:30
んじゃお前が適当なウイルスアップローダ用意しろ
32:名無しさん@お腹いっぱい。
08/01/04 21:56:26
ずっと>>1のを使ってたんだから、これで良いじゃん。
33:名無しさん@お腹いっぱい。
08/01/04 22:19:57
別にどこを使ってもいい
>>1を使おうな、とか下らないこと言わずに
要はアップロードできればいいだけの話
34:名無しさん@お腹いっぱい。
08/01/04 22:49:19
>何でか勝手にウイルスを貼り付ける奴が多いが
だの
>画像ロダにウイルスをあげることの正当化にはならん
だの下らないこと言わなきゃいいのに
35:名無しさん@お腹いっぱい。
08/01/05 04:53:14
事実ではあるけどな。
テンプレにあるロダを使わねばならない理由もないし。
テンプレに書いてあるのはスクリーンショットの話だし
一番下らないのは恐らく>>23のロダ上げに対し>>1のロダを使えと言った>>25だろう。
意味が分からない。
36:名無しさん@お腹いっぱい。
08/01/05 05:38:38
まー、ロダにこだわる必要はないな
上げたいところに上げればいい、確認さえ出来ればどこでもいい
そこを縛る必要はないだろ
37:名無しさん@お腹いっぱい。
08/01/05 05:58:39
URLリンク(webtron.org)
38:名無しさん@お腹いっぱい。
08/01/05 06:00:33
URLリンク(chowup.dip.jp)
39:名無しさん@お腹いっぱい。
08/01/05 06:07:09
>>37
古すぎ。
そんなウイルスを検出できないベンダーがあるなら倒産すべき。
40:名無しさん@お腹いっぱい。
08/01/05 07:49:15
おおっ パーフェクトだ
URLリンク(www.virustotal.com)
41:名無しさん@お腹いっぱい。
08/01/05 08:02:22
URLリンク(parentscards.com)
120690.zip pass:xyz
42:名無しさん@お腹いっぱい。
08/01/05 08:21:56
22/32
URLリンク(www.virustotal.com)
43:名無しさん@お腹いっぱい。
08/01/05 11:14:28
>>39
ウイルスセキュ(ry
44:名無しさん@お腹いっぱい。
08/01/06 10:25:43
URLリンク(www5.uploader.jp)
seven
45:名無しさん@お腹いっぱい。
08/01/06 11:43:41
>>44
McAfee
happy_2008.exe : W32/Nuwar@MM
あとはスルー
0.jsは無害だな
呼び出し先にはなんかあったのかもしれんが、もうサイトがないようだ
46:名無しさん@お腹いっぱい。
08/01/06 11:55:38
なんか怪しいので俺がスルー
47:名無しさん@お腹いっぱい。
08/01/06 12:10:36
>>44
キングソフト
download.php Win32.RiskWare.SpySheriff.r.52224
download.php=3factually=3d1&advid=3d Win32.RiskWare.SpySheriff.r.52224
他提出
48:名無しさん@お腹いっぱい。
08/01/06 12:13:38
>>44
AVG free
happy 2008.exe 検出
他提出済み
49: ◆W32/Vael.o
08/01/06 12:14:21
URLリンク(www5.uploader.jp)
Malware-Pack20
50:名無しさん@お腹いっぱい。
08/01/06 12:16:42
>>49
キングソフト
全スルー
提出済みです
51:名無しさん@お腹いっぱい。
08/01/06 12:22:40
>>49
AVG Free
p+.exe
WM.gif
Album_Fotos.exe
提出
他検出
52:名無しさん@お腹いっぱい。
08/01/06 13:46:27
>>49
ウイルスバスター2008
Possible_Mlwr-7 crss.exe
TROJ_DLOADER.XFZ Accounts.exe
他送ります。
53:名無しさん@お腹いっぱい。
08/01/06 14:45:00
URLリンク(www9.axfc.net)
vipqiv
54:名無しさん@お腹いっぱい。
08/01/06 17:34:08
>>49乙
Norton Internet Security 2008
1/12
\a\accounts.exe をDownloader として検出
反応の無かったのは贈りました
55:名無しさん@お腹いっぱい。
08/01/06 18:00:21
>>49
ESS
2008/01/06 17:52:19 8\crss.exe Win32/TrojanDropper.Delf.NFKの亜種
2008/01/06 17:52:17 7\TorpedoWebVIVO.com.exe 新種・未知のNewHeur_PEである可能性 ウイルス
2008/01/06 17:52:17 6\b+.exe Win32/Nuwarの亜種である可能性
2008/01/06 17:52:16 5\p+.exe Win32/Nuwarの亜種である可能性
他はスルー
56:名無しさん@お腹いっぱい。
08/01/06 18:44:13
>>49
ウイルスキラー2007 19.56.42
3\vips.com>>aspr.ske.2.x
Trojan.DL.Win32.Banload.fai
7\torpedowebvivo.com.exe>>upx_c
Trojan.DL.Win32.Banload.elr
b\systemin.scr
Trojan.PSW.Win32.Lineage.n
57:名無しさん@お腹いっぱい。
08/01/06 19:01:51
>>44
カスペ7
not-a-virus:FraudTool.Win32.SpySheriff.r download.php
not-a-virus:FraudTool.Win32.SpySheriff.r download.php=3factually=3d1&advid=3d
Email-Worm.Win32.Zhelatin.qb happy_2008.exe
not-a-virus:FraudTool.Win32.MalwareWipe.q mb_install.exe//data0007
not-a-virus:FraudTool.Win32.MalwareWipe.q vh_setup.exe//data0006
他提出
58:名無しさん@お腹いっぱい。
08/01/06 19:02:19
URLリンク(71.139.23.65)
59:名無しさん@お腹いっぱい。
08/01/06 19:14:53
>>49 乙
カスペ7
Heur.Downloader (亜種) TorpedoWebVIVO.com.exe
Trojan-Downloader.Win32.Delf.drs systemin.scr//data.rar/maikmr.exe
他提出
60:名無しさん@お腹いっぱい。
08/01/06 20:20:53
URLリンク(www5.uploader.jp)
3
61:名無しさん@お腹いっぱい。
08/01/06 20:43:04
↑インチキセキュリティソフト
62:名無しさん@お腹いっぱい。
08/01/06 20:43:48
>>60
AVGアンチマルウェア、AntiVir
両方スルー
63:名無しさん@お腹いっぱい。
08/01/06 21:21:01
>>49
カスペ7
ヒューリスティック検知のみ提出でカスペからの返事。(59とは別人)
Hello,
TorpedoWebVIVO.com.exe_ - Trojan-Downloader.Win32.Banload.gck
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Andrei Molyakov
Virus analyst, Kaspersky Lab.
e-mail: newvirus@kaspersky.com
URLリンク(www.kaspersky.com)
URLリンク(www.kaspersky.com) - free online virus scanner.
URLリンク(www.kaspersky.com) - technical support.
64:名無しさん@お腹いっぱい。
08/01/06 21:29:44
>>60
キングソフト
両方スルー
提出済み
65:名無しさん@お腹いっぱい。
08/01/06 21:35:00
私は59のほうです。ややこしくして申し訳ない。
>>63 乙
さっき一個書き忘れたが>>49のやつもう2つ検知してた。
Backdoor.Win32.Kbot.be 6\b+.exe
Trojan.Win32.Inject.qk 9\ragna.exe
すまん。
>>60
カスペ7 スルー
送る
66:名無しさん@お腹いっぱい。
08/01/06 22:16:25
もうご存じかもしれないが
virustotalはIEとFirefoxしか対応してないそうだ
直接問い合わせて聞いたので皆様にもご報告
67:名無しさん@お腹いっぱい。
08/01/06 22:48:34
え? プラグインやActiveXコントロールならともかく
ファイルをpostするだけならブラウザあまり関係なくね?
よっぽど実装がヘボなブラウザはだめかもしれんが
とりあえずSafari3Beta(Windows)ですら結果まで見られたよ。
68:名無しさん@お腹いっぱい。
08/01/06 23:51:17
ちなみに、もうご存じかもしれないが、VirusTotalの「Do not distribute the samples」(AVベンダーに検体を配るな!)のオプションは1/3で廃止。
理由はつらつらと英文で書いてある。
URLリンク(blog.hispasec.com)
69:名無しさん@お腹いっぱい。
08/01/07 00:15:06
>>66
マジで意味の分からん報告だな、対応じゃなくてサポートじゃねえのかよ
ずっとOrepaで使えてたし今も使えてる
70:66
08/01/07 10:57:41
>>67>>69 Safariマック版でuploadの後動かなくなるんだよね。
だから対応してほしいとメールしたら一応返事が来たと。
71:名無しさん@お腹いっぱい。
08/01/07 11:56:46
そりゃ特別なことはしていない(=動かないブラウザがクソ)のに
「○○で動かないんだけど対応してよ」なんて言われたら
「んなもん知るかIEとFxしか確認してねーよ」ってなるんじゃね?
72:うぷろだ”管理”人
08/01/07 15:40:43
別に本体あげてもいいよ。
ちゃんとパス付きで二重圧縮してアップロードしてくれるならば無問題です。
パスはお任せしますがすべて同じだとまずいので適当にお願いします。
73:名無しさん@お腹いっぱい。
08/01/07 19:42:41
Rootkit検出テスト結果
(MAX 8)
Rootkit Unhooker 3.7.300 7.5
GMER 1.0.13 7
Kaspersky Anti-Virus 7.0 6.5
Avira Rootkit Detection 1.0 .6.5
AVG Anti-Rootkit 1.1 .5.5
Panda AntiRootkit 1.08 .5.5
Sophos Anti-Rootkit 1.3.1 5.5
Dr.Web 4.44 5
TrendMicro RootkitBuster 1.6 .5
Symantec Anti-Virus 2008 .4.5
F-Secure Anti-Virus 2008 4
McAfee Rootkit Detective 1.1 3.5
BitDefender Antivirus 2008 3
McAfee VirusScan Plus 2008 .1.5
Eset Nod32 Anti-Virus 3.0 1
Trend Micro Antivirus plus 1
Antispyware 2008
URLリンク(www.anti-malware.ru)
74:名無しさん@お腹いっぱい。
08/01/07 21:52:33
これはrootkitをシステムに感染させたあとに検出できるかどうかのテストだな
たとえばカスペはシグネチャで対応しているRootkit.Win32.Podnuha.aを検出できていない。
テストに使われたrootkitはITWから選ばれたものだから感染前なら殆どのベンダーで検出できるはずだが
実際に感染してしまうとこの結果
この手のテストはほとんど見かけないからおおいに参考になる
RootkitUnhookerの作者EP_X0FFはMSのセキュリティーチームに参加したから
RKUは事実上開発終了 3.7.300.509が最終バージョンだったと思う
去年の終わりにMBRrootkitが実際に流通し始めたそうだ
GMERは検出に成功したらしいけど駆除は回復コンソールからfixmbrしかないらしい
しかしfixmbrでも駆除できないという報告もある
BLUE PILLが現実の脅威になりつつある
URLリンク(forum.sysinternals.com)
URLリンク(www2.gmer.net)
URLリンク(www.prevx.com)
検体さがしてるがいまだみつからない
75:名無しさん@お腹いっぱい。
08/01/07 22:11:34
> これはrootkitをシステムに感染させたあとに検出できるかどうかのテストだな
有名なAV程狙われるから成績が悪くなるテスト?
感染後のリカバリーは専用ツール出してるケースも多いな。
76:名無しさん@お腹いっぱい。
08/01/07 22:15:26
>>74
自分もrootkitのは初めて見た
どっちにしろ
感染までしちゃうとキツイわな
77:名無しさん@お腹いっぱい。
08/01/07 22:19:07
rootkitはどんな悪さするの?
決まってないかな
78:名無しさん@お腹いっぱい。
08/01/07 22:42:28
rootkit自身は無害
79:名無しさん@お腹いっぱい。
08/01/07 22:49:22
>>78thx
80:名無しさん@お腹いっぱい。
08/01/07 23:34:08
なんだ、それじゃNODやマカフィーでも問題ないんだな
81:名無しさん@お腹いっぱい。
08/01/07 23:37:06
>>80
有名ソフトだから狙われて成績が悪かっだけだW
82:名無しさん@お腹いっぱい。
08/01/07 23:51:31
ああ、これからも狙われ続けるからずっと成績が悪いだろうな
でも気にすんな、成績が悪くて当然なんだから
83:名無しさん@お腹いっぱい。
08/01/08 00:14:15
そう思えば寝つきもいいしな
84:名無しさん@お腹いっぱい。
08/01/08 01:15:18
ノートンやカスペをターゲットとするウイルスの方が圧倒的に多いけどなw
85:名無しさん@お腹いっぱい。
08/01/08 14:28:12
RealPlayerの脆弱性以下略で見つけたもの
URLリンク(www5.uploader.jp)
fuckreal
3つとも同じもの(オリジナルはUPX。1と2は解凍したもの)。
↓犠牲者
www.google.co.jp/search?q=%22uc8010.com%22
86:名無しさん@お腹いっぱい。
08/01/08 14:33:02
>>85
キングソフト
スルー
提出しました
87:名無しさん@お腹いっぱい。
08/01/08 14:55:12
URLリンク(rapidshare.com)
URLリンク(rapidshare.com)
URLリンク(rapidshare.com)
pass:chinese@2ch
88:名無しさん@お腹いっぱい。
08/01/08 15:07:30
なんか鑑定目的っぽいのでスルー
89:名無しさん@お腹いっぱい。
08/01/08 15:16:28
>>88
find2chで本文検索してみたらたくさん出てきました
鑑定目的ですね
スレリンク(ascii板:916番)
90:名無しさん@お腹いっぱい。
08/01/08 17:02:02
>>85
McAfeeスルーヽ(`Д´)ノ
91:名無しさん@お腹いっぱい。
08/01/08 17:10:33
>>85
ウイルスバスター2008
スルー、検体提供済み。
92:名無しさん@お腹いっぱい。
08/01/08 17:56:01
>>85
カスペ7
Trojan-Downloader.Win32.Agent.hcl
URLリンク(www.virustotal.com)
93:名無しさん@お腹いっぱい。
08/01/08 18:47:34
>>85
AVGケンタイテイシュツズミ
94:名無しさん@お腹いっぱい。
08/01/08 19:42:22
ちょw Microsoft
95:93
08/01/08 20:56:37
AVG次のアップで対応予定
96:名無しさん@お腹いっぱい。
08/01/09 20:10:31
つぎのをくれー
97:名無しさん@お腹いっぱい。
08/01/10 14:02:42
MBR rootkit
URLリンク(www.virustotal.com)
Mcafeeには提出済み
近いうちに対応するとのこと
98:名無しさん@お腹いっぱい。
08/01/10 14:39:31
Rising(´・ω・) カワイソス
99: ◆W32/Vael.o
08/01/10 18:54:28
URLリンク(www5.uploader.jp)
Malware-Pack21
100:名無しさん@お腹いっぱい。
08/01/10 19:02:52
>>99
キラー19.57.31
5\down.exe
Worm.Win32.Autorun.itw
101:名無しさん@お腹いっぱい。
08/01/10 19:06:53
>>99
キング提出しました
102:名無しさん@お腹いっぱい。
08/01/10 19:07:40
>>99AVGfree
今Macからなので
確かめずに全部送りました
103:名無しさん@お腹いっぱい。
08/01/10 19:12:11
>>99
ESS
2008/01/10 19:09:54 tane_uljp00223\malware21\9\visualizacao.exe 新種・未知のNewHeur_PEである可能性 ウイルス
2008/01/10 19:04:57 tane_uljp00223\malware21\8\fotomensagem.exe Win32/TrojanDownloader.Banload.BDAの亜種である可能性 トロイの木馬
2008/01/10 19:04:56 tane_uljp00223\malware21\6\bird.exe Win32/Delf.NDFの亜種である可能性 ワーム
2008/01/10 19:04:55 tane_uljp00223\malware21\5\down.exe Win32/Delf.NDF ワーム
2008/01/10 19:04:54 tane_uljp00223\malware21\4\gmsex.exe Win32/Genetikの亜種である可能性 トロイの木馬
104:名無しさん@お腹いっぱい。
08/01/10 19:22:13
おまいらどこからわいてきたw
105:名無しさん@お腹いっぱい。
08/01/10 21:22:53
>>99 乙
カスペ7
Trojan.Win32.Inject.qt 1\ro.exe
Trojan-PSW.Win32.OnLineGames.nkv
4\gmsex.exe//PE_Patch.PECompact//PecBundle//PECompact//PE_Patch.MaskPE
Heur.Worm.Generic 5\down.exe
Heur.Worm.Generic 6\bird.exe//PE_Patch.MaskPE
Heur.Downloader (亜種) 8\fotomensagem.exe//PE_Patch//TeLock
Heur.Downloader (亜種) 9\visualizacao.zip/visualizacao.exe//UPack
Heur.Downloader (亜種) a\gerador.zip/gerador.exe//UPack
ほとんどヒューリスティック
106:名無しさん@お腹いっぱい。
08/01/10 22:16:14
>>99乙
Norton Internet Security 2008
2/12
/7/ をDownloaderとして検出
/8/ をDownloaderとして検出
反応の無かったのは贈りました
107:102
08/01/10 22:24:19
>>99 AVGで対応完了
108:名無しさん@お腹いっぱい。
08/01/10 22:40:52
>>99-104
ワロタ
109:105
08/01/10 23:23:02
bird.exed - Worm.Win32.AutoRun.bqp,
down.exed - Worm.Win32.AutoRun.bqo,
fotomensagem.exed - Trojan-Downloader.Win32.Banload.gfd,
fr.htmd - Trojan-Downloader.JS.Agent.avn,
gerador.exed - Trojan-Downloader.Win32.Banload.gfc,
IENoRun.htmd - Trojan-Downloader.JS.Psyme.xu,
visualizacao.exed - Trojan-Downloader.Win32.Banload.gfb,
Visualizar.exed - Trojan-Downloader.Win32.Delf.dub
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
GetSt.exed
No malicious code was found in this file.
java.exed
This file is corrupted.
110:名無しさん@お腹いっぱい。
08/01/11 00:50:29
>>106
ノートンのヒューリスティックって効かないのかな?orz
111:名無しさん@お腹いっぱい。
08/01/11 06:26:46
>>99
ウイルスバスター2008
以下の検出したものは全てPossible_Mlwr-7
Visualizar.exe
visualizacao.exe
上記のものも合わせて検体提出します
112:名無しさん@お腹いっぱい。
08/01/11 10:50:13
>>85
McAfee今日のアップデートで対応
Downloader-BGX
113:名無しさん@お腹いっぱい。
08/01/11 19:38:02
>>101
お前検出結果ぐらい張れよ
ro.exe Win32.Troj.Inject.qk.39936 処理成功(操作:削除)
gmsex.exe Packes.MaskPE.a 処理成功(操作:削除)
down.exe Worm.Autorun.76473 処理成功(操作:削除)
bird.exe Packes.MaskPE.a 処理成功(操作:削除)
114:名無しさん@お腹いっぱい。
08/01/11 20:33:38
>>112
>>97も対応したようだな
StealthMBR
115:名無しさん@お腹いっぱい。
08/01/11 22:37:17
とろいの木馬4台目スレッドからきました。書き方がよくわかりませんが、
「ファイル名」 C\WINDOWS\system32\hgggh.dll
「マルウェアの名前」 Win32:TratBHO[Trj]
「マルウェアのタイトル」 トロイの木馬
「使用しているアンチウィルスソフト」 avast! Antivirus
Win32:TratBHO[Trj]にアバストが反応し警告音がなったので、チェストへ移動させたが、
その後もファイル名を変えて何回も復元されアバスト反応→チェストへ移動を何回も繰り返した。
Win32:TratBHO[Trj]のBHOは、browser helper objectのことだとわかったので、
IEのツール→アドオンの管理で確認したところ、hgggh.dllというファイル名のトロイの木馬を見つけた。
これが有効になっていたので、無効にした。
IEにインストールされているBHOを表示・削除するソフトウェアとして、Spybot S&Dというソフトが紹介されていたので、
これを用いて、ぁゃιぃものを削除した、
これで多分解決したと思われます、アバスト反応しなくなりますた。
[スクリーンショット]
URLリンク(www5.uploader.jp)
URLリンク(www5.uploader.jp)
URLリンク(www5.uploader.jp)
URLリンク(www5.uploader.jp)
116:名無しさん@お腹いっぱい。
08/01/11 22:52:32
でけーよ
なにがなんだかわけわかーめ
117:名無しさん@お腹いっぱい。
08/01/11 23:01:35
>>116
うん、でかすぎるよね、あげた自分も、よくわからないや
すんませ
118:名無しさん@お腹いっぱい。
08/01/12 00:03:42
vundoに感染してるよ。
avastとspybotだと駆除無理だからこれやってみ↓
URLリンク(www.higaitaisaku.com)
119:名無しさん@お腹いっぱい。
08/01/12 10:30:05
URLリンク(205.209.140.213:8080)
120:名無しさん@お腹いっぱい。
08/01/12 10:40:23
>>119
URLリンク(www.virustotal.com)
Result: 13/32 (40.62%)
121:名無しさん@お腹いっぱい。
08/01/12 14:30:44
最近NODが良くなってるみたいだな。
ヒューリスティックでもよく検出してるし。
NOD復活傾向?
122:名無しさん@お腹いっぱい。
08/01/12 20:06:08
zlob系は駄目だな
123:名無しさん@お腹いっぱい。
08/01/12 22:16:02
凋落街道まっしぐらかなと思ったら急によく検出するようになったりかつては優秀だったソフトが今は駄目になったり昔はしょぼかったのに今は急成長したりとこの業界目まぐるしく変わるな。
NODに関してはこれまでのだめぽぶりが凄まじかったら評価するのはまだまだ先だな、それに検体提出しても対応はかなり遅いし。
124:名無しさん@お腹いっぱい。
08/01/12 22:21:01
ハードもソフトもサイクルの速い業界だから
定評なんてのは一時的なものだな
125:名無しさん@お腹いっぱい。
08/01/12 22:31:08
そう考えるとカスペはすごいな。
あの検出率と新種の対応の早さが昔から健在だし。
AntiVirも大躍進してから3年目になるからAviraの定評も確立しつつあるか?
AVGはどうなるかな?
BitDefenderはほんとどうしたんだろ?MSスレによるとBitDefenderのスタッフはMSにだいぶ引き抜かれたらしい。
それが本当ならMS氏ね。
126:名無しさん@お腹いっぱい。
08/01/12 23:58:53
>>118
spybotから削除できたみたいです。
Spybot S&Dの「モード」→「高度なモード」に変更してから、ツール→BHOブラウザヘルパーオブジェクトをクリック、
問題となっていた、hgggh.dllがあったので、これを削除しました。
IEのツール→アドオンの管理、で確認したところ完全に消えてました。
kasperskyというオンラインスキャンを試してみたところ、ウィルス検知・感染なしとのことでした。
とりあえずこれで多分安心、どうもありがとぅございますた( ・ω・)∩。
127:名無しさん@お腹いっぱい。
08/01/13 07:12:55
URLリンク(www5.uploader.jp)
fakebuster
URLリンク(www.virustotal.com)
Fake RootkitBuster Busted!
URLリンク(blog.trendmicro.com)
128:名無しさん@お腹いっぱい。
08/01/13 11:55:55
>>127
キングソフトスルー
本家に提出済み
129:名無しさん@お腹いっぱい。
08/01/13 13:32:51
>>127
ウイルスバスター2008
スルーしたので検体提出
130:名無しさん@お腹いっぱい。
08/01/13 13:46:37
ん?
バスターは検出するはずだが?
URLリンク(scanner.virus.org)
131:名無しさん@お腹いっぱい。
08/01/13 14:01:09
>>130
パターンファイル492なら検出するみたいだが、現時点で491なので検出してないみたい。
アップデート待ちってとこか。
132:名無しさん@お腹いっぱい。
08/01/13 15:43:55
>>127
Risingに送った
133:名無しさん@お腹いっぱい。
08/01/13 15:54:22
>>127
McAfee提出しますた
134:名無しさん@お腹いっぱい。
08/01/13 16:11:42
カスペやAntiVirがスルーして(AntiVirは土日更新ないという影響があるけど)ノートンやバスターが検出ってかなり珍しいパターンだな。
135:名無しさん@お腹いっぱい。
08/01/13 17:32:50
>>127
> Dear Customer,
>
> Thank you for submitting the sample to us. Our analysis shows that it is malicious. We have developed a pattern to catch it and will include detection in the next regular update.
>
> The samples you submitted will be detected as Adware/Brandurl
>
> Best Regards,
> AV Lab - yjyang
>
> To submit a suspicious file to Fortinet:
> URLリンク(www.fortinet.com)
136:名無しさん@お腹いっぱい。
08/01/13 17:51:10
今VirustotalとVirus.orgの両方で>>127をスキャンしてみたけど相変わらずカスペ系はスルー。
検体提出してないのかはわからないけどカスペにしたら珍しいな・・・
137:名無しさん@お腹いっぱい。
08/01/13 18:17:48
>>127
avast送った
138:名無しさん@お腹いっぱい。
08/01/13 22:03:35
>>127
カスペ
今北産業。
(もう提出した奴もいるかもしれないが、)今検体提出しました。
また、今後検体提出した奴はその都度報告よろしこ。(重複すると迷惑なので)
139:138
08/01/13 22:40:31
>>127
カスペからの返事
Hello.
No malicious software was found in the attached file.
-----------------
Regards, Vladimir Lebedev
Virus Analyst, Kaspersky Lab.
Ph.: +7(095) 797-8700
E-mail: newvirus@kaspersky.com
URLリンク(www.kaspersky.com)<)
Fortinetとの間に見解の相違があるな。
140:名無しさん@お腹いっぱい。
08/01/13 22:42:47
となると>>127は無害?
AVGもヒューリスティック検出だし。
141:139
08/01/14 00:00:15
一応、もう一度念のため、>>135をはって、カスペに聞いてみるよ。
Fortinetは有害だといっていますが・・・って。
142:名無しさん@お腹いっぱい。
08/01/14 00:06:34
アドウェアっぽいから、セキュリティ・ポリシーの違いかと。
143:名無しさん@お腹いっぱい。
08/01/14 00:08:25
本物のRKBだと思った人は
偽の登録画面から本当のメアド入力してしまうかもしれない
それが1038番UDP開いて送られてスパム業者の手に渡るってところか
URLリンク(www.trendmicro.com)
セキュリティポリシーの違いだろう
symantecは Info(情報)stealer(泥棒)で検出してるし
144:名無しさん@お腹いっぱい。
08/01/14 13:20:38
FILE
------------------------------------------------------------------------
Spy-Buster.exe
------------------------------------------------------------------------
The Windows PE (I386,EXE) file "Spy-Buster.exe" has been determined to
be malicious. Our researchers have analyzed the file and confirmed the
result.
Aliases reported by other AV products are listed here:
(Infostealer)
CA products address this malware as follows:
--------------------------------------------
CA Anti-Virus
We will inform you by email ASAP when we have a signature update
available providing detection.
145:名無しさん@お腹いっぱい。
08/01/14 13:48:19
CAも黒判定か
CAの返事ははじめてみたな
146:名無しさん@お腹いっぱい。
08/01/14 14:42:39
>>127書き添えたらいいんじゃないかなあ
unlicensed engine usageに、suspicious email collection で十分アウトかと
エンジンには確かにTMの署名がされてるけど、本体は署名なし。そんなことってない
捨てアド作って登録してやった。予想通りの結果になるかな
147:名無しさん@お腹いっぱい。
08/01/14 17:26:17
>>127
AntiVir検出
AntiVir 7.6.0.46 2008.01.14 TR/Fakebuster.A
FortinetもAdwareとして検出
Fortinet 3.14.0.0 2008.01.14 Adware/Brandurl
148:名無しさん@お腹いっぱい。
08/01/14 18:44:20
URLリンク(www5.uploader.jp)
P:123
149:名無しさん@お腹いっぱい。
08/01/14 18:46:33
>>148
乙!
KING提出しました
150:名無しさん@お腹いっぱい。
08/01/14 18:54:22
検出報告スレなのに、格ベンダー提出スレと勘違いしてる馬鹿がいる
151:名無しさん@お腹いっぱい。
08/01/14 18:59:01
>>150
お前馬鹿か?
検出しないから報告するんだろw
152:名無しさん@お腹いっぱい。
08/01/14 18:59:44
ちょい訂正。
×報告
○提出
153:名無しさん@お腹いっぱい。
08/01/14 19:00:59
>>148
乙
NODスルーしたので提出しました
154:名無しさん@お腹いっぱい。
08/01/14 19:04:54
>>148
ESETに提出しといた
155:名無しさん@お腹いっぱい。
08/01/14 19:08:06
>>148
AVG提出済み
156:155
08/01/14 19:08:57
>>148
URLリンク(www.virustotal.com)
Result: 8/32 (25.00%)
157:名無しさん@お腹いっぱい。
08/01/14 19:43:25
ひっかけくさいな
158:名無しさん@お腹いっぱい。
08/01/14 19:48:48
>>148
McAfeeおくった
159:名無しさん@お腹いっぱい。
08/01/14 19:59:36
パッカー臭
160:名無しさん@お腹いっぱい。
08/01/14 20:12:36
Ikarusだからひっかけのひっかけ臭
161:名無しさん@お腹いっぱい。
08/01/14 20:37:07
>>148
ファイルぶっ壊れてるってよ。
Kaspersky「This file is corrupted.」
Dr.WEB「Your request has been analyzed. It was corrupted file.」
162:名無しさん@お腹いっぱい。
08/01/14 20:41:44
>>161
ヒント:拡張子
163:名無しさん@お腹いっぱい。
08/01/14 20:42:13
Fortinetは黒判定
Thank for for submitting the sample to us. We have analysed it and developed a detection pattern for it. Starting with our next regular update, the file AV137.exe will be detected as W32/Delf.AMJ!tr.
Best regards,
AV lab - Sorin
To submit a suspicious file to Fortinet:
URLリンク(www.fortinet.com)
164:名無しさん@お腹いっぱい。
08/01/14 20:51:01
>>162
もちろんexeにしたさ。
PackerはPECompact2だが破損してるんだろう。
165:名無しさん@お腹いっぱい。
08/01/14 21:35:40
フォーティすごいお SUGEEEE!!!
166:名無しさん@お腹いっぱい。
08/01/14 21:58:24
Fortinetもレスポンス早いのね
167:名無しさん@お腹いっぱい。
08/01/14 22:08:52
MD5: 0x25437CFDCDE0E34513AD127D5301E340
Analysis of the file resources indicate the following possible country of origin:
Japan
作った人は手を上げてください。
168:名無しさん@お腹いっぱい。
08/01/14 22:09:48
>>161>>164
heuristicだったので送ったAviraも壊れてるときた。。。
> AV137.exe DAMAGED FILE (UNKNOWN)
んで同じもの送ったAVGから返事。
> Dear Sir/Madam,
>
> Thank you for your email.
>
> Please let us inform you that we analyzed the file you have sent us.
> The file is really including a harmful code.
> It is detected by AVG now. In case your AVG doesn't detect the file,
> please update it.
>
> Thank you for your cooperation. We highly appreciate it.
>
> Answers to the most common questions can be found here as well:
> URLリンク(www.avg.com)
>
> Best regards,
>
> Valerie Dubnova
> AVG Technical Support
ひょっとしてメールサービスのウイルスチェックに引っ掛かったのか?
169:名無しさん@お腹いっぱい。
08/01/14 22:12:32
>>168
AVGとAntiVir併用してるの?
170:名無しさん@お腹いっぱい。
08/01/14 22:15:12
>>169
んにゃ、AntiVirはもののついでに送ってみた。
171:名無しさん@お腹いっぱい。
08/01/14 22:17:01
英語はあまり読めないけどAVGからの返事読むとAVGは白判定?
ESETの返事はいつくるのやら・・・
172:名無しさん@お腹いっぱい。
08/01/14 22:17:25
>>170つづき
HEUR/Cryptedがどんなものかと調べたらこうだったので。
URLリンク(www.avira.com)
173:名無しさん@お腹いっぱい。
08/01/14 22:19:30
IMP Self Extract Archiver
174:名無しさん@お腹いっぱい。
08/01/14 22:29:17
ImpSfx.exeをPECompact 2.80 beta 1 Student versionでパッキングしたもの
であってる?>>148
175:名無しさん@お腹いっぱい。
08/01/14 22:32:44
カスペはまだスルー、AntiVirもグレー判定(ヒューリスティック)
明日になってカスペとAVGとAntiVirがどう反応するかで変わるかも。
176:名無しさん@お腹いっぱい。
08/01/14 22:40:56
いまでもAVG検出できないな
177:名無しさん@お腹いっぱい。
08/01/14 23:31:07
アンパッカの最中に引っかかって止まってる感じなんだよな…ちゃんとみてないけど
スタブに任せずに、鶴で本体取り出したら、なんか書いてあるのかな
178:名無しさん@お腹いっぱい。
08/01/14 23:52:28
URLリンク(scanner.virus.org)
こっちではavast!だけが検出してる。
ヒューリスティック検出はクリーン扱いのようだ。
179:名無しさん@お腹いっぱい。
08/01/15 00:07:06
しかしpackerはすごいな
圧縮したらまともな検出できるところがなくなったw
例
圧縮前
URLリンク(www.virustotal.com)
圧縮後
URLリンク(www.virustotal.com)
180:名無しさん@お腹いっぱい。
08/01/15 00:23:35
圧縮前はスルーで圧縮後に検出のPandaてw
181:名無しさん@お腹いっぱい。
08/01/15 00:36:14
>>148
ウイルスバスタースルー
一応ダメ元で検体は出してみた。
182:名無しさん@お腹いっぱい。
08/01/15 00:41:06
PandaはPacekerに過剰反応してるってどっかにあったな
183:名無しさん@お腹いっぱい。
08/01/15 00:43:52
>>179
全部検知する検体で比較しないとわからんな。
184:名無しさん@お腹いっぱい。
08/01/15 00:48:58
カスペ、AVG、AntiVir、あとはフォーティネットは返事や対応早くていいね。
ノートンやバスターの対応は遅いのは当然としてESETの対応速度はどれくらいなんだろう?orz
ESSのファイル提出は楽で良いけどいつ対応してくれるか・・・
185:179
08/01/15 01:08:50
ほんじゃ>>37を
圧縮前
URLリンク(www.virustotal.com)
圧縮後
URLリンク(www.virustotal.com)
圧縮前と後で同じ脅威名で検出できたのは
DrWeb
F-Secure
Kaspersky
NOD32v2
Panda
VBA32
これらはアンパッキングできてると考えられる
使用したpackerはPECompact 2.80 beta 1 Student version
186:183
08/01/15 02:00:39
>>185
乙
無難な結果になったようだ
187:名無しさん@お腹いっぱい。
08/01/15 06:20:55
で、>>148はナニ?
188:名無しさん@お腹いっぱい。
08/01/15 12:00:10
>>126
hgggh.dllおれも感染しているもようorz
Avastで1時間置きにファイル名を変えたdllがsystem32に出現してtratBHOを検知。
たぶん元はPSP用の動画変換ツールだったと思う。
SpyBotでBHOの削除を試みたがGUI上では一見削除されたようでも再表示で復活。
IEのアドオンからは消えず・・・
>>126さんと対処方法が違うんでしょうか・・・?
189:名無しさん@お腹いっぱい。
08/01/15 22:44:22
URLリンク(www.itmedia.co.jp)
初のMac向け偽セキュリティソフトが登場
190:名無しさん@お腹いっぱい。
08/01/15 22:57:12
>>189
URLリンク(macsweeper.com)
ここだね。
とりあえずVirustotalでスキャンしてみたけど、どこも検出しないね。
まあMac向けだからこのまま廃れそうだけどw
191:名無しさん@お腹いっぱい。
08/01/15 23:10:42
Macで見てる人もいるからリンクにしないほうがいいよ h抜きにはなってるけど
192:名無しさん@お腹いっぱい。
08/01/15 23:14:56
あれ 俺は違うところで見つけたぞ
いろんなサイトに仕掛けられてんのかな
193:名無しさん@お腹いっぱい。
08/01/16 20:52:12
love storm どこもつながらないな
nodとbitは対応したらすいが
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4406日前に更新/135 KB
担当:undef